Tweet
Trong thế giới bảo mật, chúng tôi chỉ có thể an toàn như các biện pháp kiểm soát mà chúng tôi cho phép làm. Luật pháp tại Hoa Kỳ xác định những gì một hành khách trên chiếc máy bay được phép mang lên máy bay. Cục An Ninh Giao Thông (TSA) là cơ quan chịu trách nhiệm về an ninh du lịch và thực thi các luật đó. Nếu các nhân viên TSA điều khiển máy dò kim loại và máy chiếu tia X-quang (và tất cả những thứ khác làm chúng ta chậm lại khi cố gắng tiếp cận máy bay của chúng ta), thì Cục Quản Lý An Ninh Giao Thông (TSA) sẽ thực sự thực thi những luật đó như thế nào?
Với công nghệ, chúng ta phải đối mặt với những thách thức tương tự. Chúng ta cần phải có các biện pháp kiểm soát đảm để đảm bảo rằng chỉ có các thực thể chính xác đang sử dụng các tiện ích công nghệ của chúng tôi. Các khái niệm bảo mật tương tự từ sân bay có thể được áp dụng cho nhiều trường hợp sử dụng, bao gồm tương tác giữa người với máy tính, tương tác trên máy tính với mạng và thậm chí là tương tác của ứng dụng với dữ liệu.
Nguyên tắc cơ bảo mật này về việc cung cấp mức độ truy cập chính xác cho thực thể chính xác được gọi là xác thực, ủy quyền, và kiểm toán (AAA), thường gọi là Triple-A.
Trước khi cho phép một thực thể thực hiện một hành động, bạn phải đảm bảo bạn biết thực thể đó là ai (xác thực) và nếu thực thể đó được ủy quyền để thực hiện hành động đó (ủy quyền). Ngoài ra, bạn cần phải đảm bảo rằng các hồ sơ chính xác được duy trì cho thầy rằng hành động đã xảy ra, vì vậy bạn giữ một bản ghi bảo mật của các sự kiện (kiểm toán).
Bạn có thể áp dụng các khái niệm của AAA cho nhiều khía cách khác nhau của vòng đời công nghệ; tuy nhiên, cuốn sách này sẽ tập trung vào hai khía cạnh chính của AAA liên quan đến an ninh mạng:
- Quản trị thiết bị AAA: Kiểm soát quyền truy cập vào những người mà người đó có thể đăng nhập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên Secure Shell (SSH) hoặc phương pháp khác là một dạng AAA mà bạn nên biết. Đây là AAA cho quản trị thiết bị và mặc dù nó thường có vẻ giống với AAA truy cập mạng, nhưng nó có một mục đích hoàn toàn khác và đòi hỏi các cấu trúc chính sách khác nhau.
- Truy cập mạng AAA: Bảo mật truy cập mạng có thể cung cấp danh tính của điểm cuối, thiết bị hoặc người dùng trước khi cho phép thực thể giao tiếp với mạng. Đây là AAA để truy cập mạng và là loại AAA được tập trung nhiều nhất trong cuốn sách này.
Xác thực, nói một cách đơn giản, là xác nhận danh tính, còn được gọi là thông tin xác thực. Đây là một bước rất quan trọng trong quá trình thực hiện bất kỳ loại kiểm soát truy cập an toàn nào, bất kể bạn đang kiểm soát điều gì. Hãy quên công nghệ thông tin trong một giây và xem xét việc trả tiền cho cửa hàng tạp hóa với một thẻ tín dụng. Là chủ sở hữu thẻ tín dụng, bạn có quyền lựa chọn ký vào mặt sau của thẻ hoặc để viết vào “kiểm tra ID” ở mặt sau. Phương pháp an toàn hơn là buộc xác thực thông tin xác thực (ID) của người sử dụng thẻ đó và đảm bảo rằng thông tin xác thực khớp với tên ở mặt trước của thẻ tín dụng.
Có một nhân viên thu ngân kiểm tra danh tính của người sử dụng thẻ để đảm bảo người đứng trước họ khớp với người được hiển thị trên chính ID đó là xác thực. Đảm bảo rằng danh tính khớp với tên được in trên thẻ tín dụng là ủy quyền. Hãy nghĩ về kịch bản này: Jamie Sanbower đi vào một cửa hàng bán lẻ và trao cho nhân viên thu ngân một thẻ tín dụng để trả cho 10.000 đô la điện tử mà anh ta đang mua. Anh ta chuyển giấy phép lái xe của mình cho nhân viên thu ngân, người đã xác minh rằng bức ảnh phù hợp với Jamie. Đó chắc chắn là danh tính của anh ấy. Tuy nhiên, tên được in trên thẻ tín dụng là Vivek Santuka. Có nên thông qua giao dịch thẻ tín dụng? Tất nhiên là không (và tốt hơn hết là anh ta đừng thử).
Jamie cố gắng sử dụng thẻ tín dụng Vivek, hiện có trong các tệp nhật ký của hệ thống điểm bán, hệ thống giám sát video của cửa hàng và các hệ thống khác. Đây là phần tính cước của AAA. Nó là một phần quan trọng cần thiết để báo cáo, kiểm toán và hơn thế nữa.
Nó sẽ trở thành tối quan trọng đối với bạn với tư cách là một chuyên gia bảo mật để hiểu được sự khác biệt và mục đích của cả ba A trong bảo mật chính của Triple-A.
